Jedan od najvažnijih alata u savremenoj internet infrastrukturi našao se pod neočekivanim pritiskom veštačke inteligencije. cURL, projekat bez koga danas teško da bi funkcionisali administratori, istraživači i bezbednosni timovi širom sveta, odlučio je da ugasi svoj program nagrada za prijavu bezbednosnih propusta.
Razlog nije manjak interesa, već suprotno. Ogroman talas loših, netačnih i potpuno izmišljenih prijava, u velikoj meri generisanih pomoću AI alata, doveo je mali tim koji održava ovaj projekat na ivicu izdržljivosti.
"Mi smo mali open source projekat sa ograničenim brojem aktivnih održavalaca. Nemamo moć da promenimo način na koji svi ti ljudi i njihove mašine za slop funkcionišu. Moramo da povučemo poteze kako bismo obezbedili opstanak projekta i sačuvali mentalno zdravlje", poručio je osnivač i glavni autor projekta Daniel Stenberg.
AI prijave koje ne prolaze osnovnu proveru
Bug bounty programi godinama su bili jedan od ključnih mehanizama za unapređenje bezbednosti softvera. Spoljni istraživači su privatno prijavljivali ranjivosti, a projekti su za ozbiljne nalaze isplaćivali novčane nagrade. Kod cURL-a je taj model funkcionisao sve dok količina prijava nije eksplodirala.
Prema Stenbergovim rečima, problem nisu AI alati sami po sebi, već način na koji se koriste. Sve češće su stizale prijave sa tehničkim detaljima koji ne odgovaraju stvarnom kodu, sa nepostojećim CVE oznakama, izmišljenim promenama u changelog-u i funkcijama koje se u cURL-u uopšte ne koriste.
U jednom od javno objavljenih primera, član tima je prijavu odbacio uz komentar da je autor "žrtva halucinacije velikog jezičkog modela". Analiza je pokazala da se navodni exploit oslanja na potpis funkcije koji nikada nije postojao i koji se ne bi mogao ni kompajlirati.
Situacija je dodatno eskalirala kada su pojedini autori, i nakon što im je objašnjeno da je u pitanju izmišljena ranjivost, nastavili da insistiraju na isplati nagrade. U jednom takvom slučaju Stenberg je direktno poručio da je podnosilac prijave jednostavno poverovao AI-ju bez razumevanja onoga što mu je alat isporučio.
cURL je kritična infrastruktura, ali resursi su ograničeni
Važno je razumeti kontekst. cURL postoji gotovo tri decenije, prvobitno pod nazivima httpget i urlget, i danas je deo podrazumevane instalacije Windowsa, macOS-a i većine Linux distribucija. Koristi se za prenos fajlova, automatizaciju, testiranje API-ja i dijagnostiku mrežnih problema.
Upravo zbog te rasprostranjenosti, bezbednost projekta je od presudne važnosti. Međutim, svaki sat koji održavaoci potroše na proveru lažnih AI prijava, sat je manje za realne ranjivosti, razvoj i održavanje stabilnosti koda.
Stenberg otvoreno priznaje da gašenje bug bounty programa nije idealno rešenje. I sam se slaže sa kritikom da se time uklanja simptom, ali ne i uzrok problema. Ipak, u trenutnim okolnostima tim ne vidi održivu alternativu.
Zbog toga je cURL zvanično najavio da program nagrada prestaje da važi krajem ovog meseca, uz jasno upozorenje da će autori besmislenih prijava biti blokirani, pa čak i javno prozvani.
AI može da pomogne, ali samo u pravim rukama
Važno je naglasiti da cURL tim ne odbacuje AI kao alat. Naprotiv, Stenberg je prošle godine javno pohvalio istraživača koji je uz pomoć AI-potpomognutog alata za analizu koda dostavio opsežan izveštaj koji je rezultirao desetinama ispravki u kodu.
Razlika je, kako sam Stenberg kaže, u tome da li AI koristi "pametna osoba sa razumevanjem problema" ili neko ko samo postavi pitanje četbotu i bez ikakve provere prosledi rezultat kao zvaničnu prijavu.
Za sada, čini se da su ovi drugi ubedljivo brojniji.
Odluka cURL-a mogla bi da bude signal i drugim open source projektima da se bug bounty modeli nalaze pred ozbiljnim izazovom u eri generativne veštačke inteligencije. Ako se trend nastavi, održavaoci širom ekosistema moraće da biraju između otvorenosti i sopstvene održivosti.